有关2020年3月,一个名为VHD的勒索病毒家族浮出水面,业界分析该勒索病毒家族与朝鲜黑客有关。它和HermitKingdom组织都使用MATA框架进行分布式,并且有几个特性将两者联系起来。2016年2月,攻击者入侵孟加拉国银行,并试图通过SWIFT系统向其他银行转移近10亿美元。调查导致发现了一个名为HiddenCobra的朝鲜黑客组织,该组织从那时起一直活跃,进行了多次攻击。在对台湾一家银行的攻击中,勒索软件被用来迷惑安全团队并偷偷将资金转移到其他银行账户。HiddenCobra被认为是朝鲜黑客组织的一部分。朝鲜的黑客组织各司其职,向121局(或实验室)汇报。其中,180局,又称APT38,负责攻击外国金融系统,包括银行和加密货币交易所。据认为,该组织的成员广泛居住在朝鲜以外的国家,例如俄罗斯、马来西亚、泰国、孟加拉国、印度尼西亚和印度。Hunting发现,通过对VHD勒索病毒的源代码分析,识别出一些可复用的函数,并以此为起点,在2020年3月之后对恶意软件进行猎杀,过滤掉一些可识别的误报后,发现了一系列代码相似的样本:BEAF家族、PXJ家族、ZZZZ家族、CHiCHi家族。除了上述4个勒索病毒家族外,还发现了使用MATA框架分发的Tflower勒索病毒。此外,BEAF勒索软件的四个字母与APT38使用的Beefeater握手的前四个字节完全相同。代码相似度使用BinDiff等工具从代码相似度的角度进行分析:相似关联ZZZZ、PXJ和Beaf都是与VHD源码有大量代码相似度的三个家族,其中ZZZZ几乎是Beaf的翻版。Tflower和ChiChi确实有一些代码共享,但都是通用的功能,与传统意义上的代码共享不同,图中没有展示。代码可视化分析师使用希尔伯特曲线映射对代码进行可视化,针对六大家族生成的图像如下:此外,Tflower和ChiChi与VHD有很大不同。相似性比较代码相似性分析的特点也可以在希尔伯特曲线上得到印证。例如,电子邮件地址Semenov.akkim@protonmail.com出现在CHiCHi和ZZZZ样本中。转钱受害者似乎是亚太地区的特定目标,目前还没有关于受害者的更详细信息,包括泄露的页面或谈判聊天记录。资金流向研究人员追踪了攻击者的比特币钱包地址,监控并跟踪了他们的交易流向,但没有发现来自不同恶意软件家族的账户之间存在关联。当然,目前发现的赎金数额相对较小。例如,2020年年中支付的约20,000美元比特币在年底被转移。其中一笔交易是通过加密货币交易所进行的,攻击者可能已将其兑现或兑换成另一种难以追踪的加密货币。总结近年来,除了全球银行,韩国加密货币服务提供商和用户也遭到鱼叉邮件、虚假应用程序等攻击方式的渗透和攻击。这些攻击主要针对亚太地区,例如日本和马来西亚,攻击可能通过勒索软件获利。
